KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

 

 

 

MURAT TEKNİK ELEKTRİKLİ EV ALETLERİ SATIŞ VE SERVİS SANAYİ TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

 

 

 

 

 

 

 

 

 

 

 

  1. AMAÇ :

Murat Teknik Elektrikli Ev Aletleri Satış ve Servis Sanayi Ticaret Limited Şirketi (“MURAT TEKNİK”) sosyal ve hukuki sorumlulukları gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde, MURAT TEKNİK’in tamamına uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir. Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, MURAT TEKNİK’in faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

  1. KAPSAM :

Bu Politika MURAT TEKNİK’de görev yapmakta olan çalışanların, çalışan adaylarının, stajyerlerin ve bunların veli/vasi/temsilcileri ile ürün satın alan şahıs firmalarının tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.

  1. İDARİ VE TEKNİK TEDBİRLER:

Yönetmelik uyarınca, işbu Politika’nın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, MURAT TEKNİK tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.

  • Kağıt yoluyla aktarılan verilerin gizlilik dereceli belge formatında gönderilmesi ve ekstra fiziki güvenlik önlemi alınması,
  • Bulutta depolanan verilerin güvenliğinin sağlanması,
  • Ağ güvenliği ve uygulama güvenliğinin sağlanması,
  • Erişim yetki kısıtlamalarının öngörülmesi,
  • Veri minimizasyonunun sağlanması,
  • Veri saklama sürelerinin tespit edilmesi,
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konusunda kurumsal politikaların hazırlanması ve uygulanması,
  • İşten ayrılan veya görevi değişen çalışanların bu alandaki yetkilerinin kaldırılması,
  • Güncel anti-virüs ve güvenlik duvarlarının kullanılması,
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmesi,
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanması,
  • Kişisel veri güvenliğinin takibi yapılması,
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması,
  • Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliğinin sağlanması,
  • Kişisel veri içeren ortamların güvenliğinin sağlanması,
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmesi ve uygulanması,
  • Siber güvenlik önlemleri alınması ve uygulanmasının takip edilmesi,
  • Saldırı tespit ve önleme sistemleri kullanılması,
  • MURAT TEKNİK’in’ tüm iş birimleri ile gerçekleştirilen/gerçekleştirilecek toplantı/eğitimlerle farkındalık yaratılması,
  • Kişisel Veri süreçlerinde görev alan çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,
  • MURAT TEKNİK’in iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,
  • Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,
  • Üçüncü taraf ve çalışanlarla yapılan sözleşmelere Kişisel Verilerin Korunması’na İlişkin hükümlerin eklenmesi.
  • Kişisel verilerin yedeklenmesi ve yedeklenen verilerin güvenliğinin sağlanması,
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanması ve takibi,
  • Sistem güvenliğine yönelik süreçlerin geliştirilmesi
  • Erişim loglarının düzenli olarak tutulması
  • Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,
  • Şifreleme yapılması,
  • Kurum içi periyodik ve/veya rastgele denetimler yapılması
  • Çalışanların veri güvenliği hususunda aydınlatılması – eğitilmesi
  • Çalışanlar ve iş ortaklarından gizlilik taahhütnamesi alınması
  1. UYGULAMA :

MURAT TEKNİK kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler MURAT TEKNİK’in Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. MURAT TEKNİK’, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. MURAT TEKNİK’in organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. MURAT TEKNİK’in, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. MURAT TEKNİK tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. MURAT TEKNİKin, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

  1. SAKLAMA VE İMHA SÜRELERİ :

Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve MURAT TEKNİK’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda MURAT TEKNİK’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı MURAT TEKNİK tarafından seçilir. İlgili kişi MURAT TEKNİK’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa MURAT TEKNİK’in talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

 

Veri Tipi Detayları Saklama dönemi başlangıç tarihi Saklama süresi
MURAT TEKNİK’in binalarındaki güvenlik kameralarının video kayıtları Veri işleme tarihi 3 ay
Çalışan adaylarından alınan kendilerine ve veli/vasi/temsilcilerine ait kişisel veriler Veri işleme tarihi 1 yıl
İş ilişkisi kapsamında toplanan tedarikçi çalışanlarına, çalışanlara ve onların veli/vasi/temsilcilerine ait kişisel veriler İşe son verme tarihi 15 yıl
Çalışan olmayan kursiyer, stajyer bilgileri İşe son verme tarihi 1 yıl
Ürün satılan alan şahıs firmalarına ait bilgiler İş ilişkisinin sona ermesi tarihi 15 yıl
İnternet sitesi çerez kayıtları Veri işleme tarihi ??
Müşterilerle yapılan genel görüşmelere ilişkin telefon görüşmelerinde toplanan veriler İş ilişkisinin sonu 2 yıl
         Potansiyel müşterilerle ilgili telefon    kayıtları Görüşme tarihi  2 yıl
Sözleşme çerçevesinde toplanan veriler İş ilişkisinin sonu  15 yıl

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

MURAT TEKNİK tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

MURAT TEKNİK, çalışanlara ait parmak izi, yüz tarama, sağlık verisi, kan grubu, özel sağlık sigortası poliçesi, sağlık raporları, işbaşı sağlık raporu, akciğer grafisi, işitme testi, göz testi, işe giriş ve periyodik muayene formları, hamilelik durumu, hamilelik raporu, sağlık ve doğum izni bilgileri ve ceza mahkumiyeti ile güvenlik tedbirlerine ilişkin verileri açık rıza şartına dayalı olarak KVKK’ya uygun bir biçimde çalışanların işe giriş işlemlerinin yapılması, iş takibinin sağlanması, bilgi güvenliğinin sağlanması, şirketin meşru menfaatlerinin korunması, iş sağlığı ve güvenliği ile alakalı planlamanın yapılması ve gerekli tedbirlerin alınması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlemektedir.

Özel nitelikli verilerinin işlenmesine rıza göstermeyen çalışanlara ilişkin yukarıda sayılan özel nitelikli verilerden yalnızca sağlık verileri işyeri hekimi vasıtasıyla fiziken toplanmakta ve onun nezaretinde kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla saklanmaktadır.

Özel nitelikli kişisel verilerden yalnızca sağlık raporları işyeri hekimimiz ile paylaşılmakta, bunun dışında işlenen özel nitelikli veriler yurtiçi veya yurtdışına aktarılmamakta, üçüncü kişilerle paylaşılmamaktadır.

Özel nitelikli verilerin işlenmesine aşağıda belirtilen güvenlik tedbirleri alınmaktadır;

  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  • İlgili çalışanlarla gizlilik sözleşmelerinin yapılması,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
  • Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  • Özel nitelikli veri içeren elektronik ortamlarda verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  • Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli veri içeren fiziksel ortamlarda verilerin bulunduğu ortamın niteliğine göre (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) fiziksel önlem alınması
  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

Özel nitelikli verilerin saklama süreleri ve imhasında aşağıda yer alan tabloda yer verilen sürelere uyulmaktadır;

Veri Tipi Detayları Saklama dönemi başlangıç tarihi Saklama süresi
Çalışanlara ve Tedarikçi Çalışanlarına ait sağlık verileri İşe son verme tarihi 10 yıl
Çalışanlara ve Tedarikçi Çalışanlarına ait ceza mahkumiyeti ve güvenlik tedbiri verileri İşe son verme tarihi 10 yıl

 

  1. SORUMLULUK

Şirket faaliyetleri çerçevesinde elde edilen kişisel verilerin muhafazası, işlenmesi, iş bu Politika ile tutarlı yönergelerin tesis edilmesinden, mevzuat ve sözleşmesel sorumlulukların yerine getirilmesinden nihai olarak veri sorumlusu temsilcisi olarak İdari İşler Müdürü sorumludur.  Ayrıca kişisel verilerin saklanması ve imhası süreçlerinde yer alanların unvan, birim ve görev tanımları aşağıdaki gibidir;

İdari İşler Müdürü               : Şirketin tüm idari süreçlerini yönetir.

Muhasebe Birimi Yöneticisi; Şirketin tüm Bilgi İşlem, Finans ve Muhasebe süreçlerini yönetir.

İnsan Kaynakları Yöneticisi: Şirketin tüm personel süreçlerini yönetir.

İşyeri Hekimi                         : Çalışanlara ait sağlık süreçlerini yönetir.

 

Murat Teknik Elektrikli Ev Aletleri Satış ve Servis Sanayi Ticaret Limited Şirketi